Wie kann ich meinen Laptop so sichern, dass kein Hacking durch physischen Zugriff möglich ist?

73

Ich habe mein System früher durcheinander gebracht und wurde beim Booten in Ubuntu mit einem schwarzen Bildschirm begrüßt. Als ich meinen Laptop startete, wählte ich die Wiederherstellungsoption aus dem Grub-Menü und entschied mich für den Fallback am Root- Terminal. Ich sah, dass ich den Befehl add user verwenden konnte, mit dem ich wahrscheinlich einen privilegierten Benutzer auf meinem Computer erstellen konnte.

Ist das nicht ein Sicherheitsproblem?

Man hätte meinen Laptop stehlen und beim Start die Wiederherstellung wählen und einen anderen Benutzer hinzufügen können, ich bin dann durchgeknallt. Einschließlich meiner Daten.

Denken Sie daran, selbst wenn Sie diesen Eintrag irgendwie entfernen, könnte man von einer Live-CD booten, ein Programm starten chrootund dann einen anderen Benutzer hinzufügen, mit den richtigen Berechtigungen, die es ihm ermöglichen, alle meine Daten zu sehen.

Wenn ich das BIOS so einrichte, dass es nur mit meiner Festplatte startet, kein USB, CD / DVD, Netzwerkstart und kein BIOS-Passwort, ist das immer noch egal, da Sie immer noch diesen Starteintrag für die Wiederherstellung haben.

Ich bin mir ziemlich sicher, dass jemand aus China, Russland, meinen Ubuntu Trusty Tahr nicht aus dem Netzwerk hacken kann, weil er so sicher ist. Aber wenn man physischen Zugriff auf meine Maschine hat, dann stelle ich diese Frage. Wie kann ich meinen Computer so sichern, dass kein Hacking durch physischen Zugriff möglich ist?


Fehlerbericht:

blade19899
quelle
35
Volle Festplattenverschlüsselung und Glitzernagelpolitur für Ihre Schrauben. Wer macht das heute nicht?
Mondjunge
2
@ ByteCommander können Sie Root-Benutzer hinzufügen. Fügen Sie einfach einen anderen Benutzer mit der UID 0 zu / etc / password hinzu. Ich habe gerade fred hinzugefügt fred:x:0:0:fred,,,:/home/fred:/bin/bashund jetzt, wenn ich mich als fred anmelde und renne whoami, bekomme ichroot
Josef
3
@ ByteCommander sollten sie sein. Mit den Tools zum Verwalten von Konten wie z adduser. B. können Sie dies normalerweise nicht tun, sondern nur bearbeiten /etc/passwd. Ein Hacker zu sein bedeutet zu ignorieren, was du tun sollst ;)
Josef
3
@ blade19899 Dein neuer Bug wird sicher abgelehnt. Vergleichen Sie dieses vorhandene: bugs.launchpad.net/ubuntu/+bug/283662
Byte Commander
4
@ blade19899 Mein breiterer Punkt ist, dass Sie in Bezug auf Risiken und Kompromisse denken müssen, nicht absolut. Ich habe keine Ahnung, wer Sie sind oder wo Sie leben, aber ein Hausraub, der dazu führt, dass jemand Ihre Daten effektiv nutzt (anstatt nur zu versuchen, die Hardware zu entladen), klingt ein bisschen weit hergeholt und möglicherweise weniger besorgniserregend als die Zeit. Geld oder sogar Datenverlust, der aus dem Mangel an effektiven Wiederherstellungsoptionen resultieren könnte. Aus diesem Grund ist ein Fallback-Root-Terminal eine gute Sache. Das soll aber natürlich nicht heißen, dass Sie sich nicht mit der Verschlüsselung von Festplatten befassen sollten.
Entspannt

Antworten:

86

Ich vermute, dass nur eine vollständige Festplattenverschlüsselung mit einem starken Algorithmus und vor allem einem guten Kennwort Ihre lokal gespeicherten Daten schützen kann. Dies gibt Ihnen wahrscheinlich 99,99% Sicherheit. Informationen hierzu finden Sie in einer der zahlreichen Anleitungen.


Außerdem ist es NICHT möglich , Ihren Computer vor einem erfahrenen Hacker mit physischem Zugriff zu schützen.

  • Benutzer- / Kontokennwörter:
    Es ist einfach, einen neuen Administratorbenutzer zu erstellen, wenn Sie, wie Sie selbst beschrieben haben, in den Wiederherstellungsmodus booten, da Sie eine Root-Shell erhalten, ohne auf diese Weise nach Kennwörtern gefragt zu werden.
    Das mag wie ein versehentliches Sicherheitsproblem aussehen, ist aber für Wiederherstellungsfälle gedacht (wer hätte das gedacht?), In denen Sie z. B. Ihr Administratorkennwort verloren oder den sudoBefehl oder andere wichtige Dinge durcheinander gebracht haben .

  • root-Passwort:
    Ubuntu hat standardmäßig kein root-Passwort festgelegt. Sie können jedoch einen festlegen, der beim Booten im Wiederherstellungsmodus abgefragt wird. Dies scheint ziemlich sicher zu sein, ist jedoch noch keine endgültig sichere Lösung. Sie können den Kernel-Parameter immer noch single init=/bin/bashüber GRUB hinzufügen, bevor Sie Ubuntu starten, das ihn im Einzelbenutzermodus startet - was in Wirklichkeit auch eine Root-Shell ohne Passwort ist.

  • Sichern des GRUB-Menüs mit einem Passwort:
    Sie können Ihre GRUB-Menüeinträge so sichern, dass sie nur nach Authentifizierung zugänglich sind, dh Sie können das Booten des Wiederherstellungsmodus ohne Passwort verweigern. Dies verhindert auch die Manipulation der Kernel-Parameter. Weitere Informationen finden Sie auf der Grub2 / Passwords-Website unter help.ubuntu.com . Dies kann nur umgangen werden, wenn Sie von einem externen Medium booten oder die Festplatte direkt an einen anderen Computer anschließen.

  • Booten von externen Medien im BIOS deaktivieren:
    In vielen aktuellen BIOS / UEFI-Versionen können Sie die Bootreihenfolge festlegen und Geräte normalerweise vom Booten ausschließen. Diese Einstellungen sind jedoch nicht gesichert, da jeder das Setup-Menü aufrufen kann. Sie müssen auch hier ein Passwort festlegen, aber ...

  • BIOS-Passwörter:
    Sie können normalerweise auch BIOS-Passwörter umgehen. Es gibt verschiedene Methoden:

    • Setzen Sie den CMOS-Speicher zurück (in dem die BIOS-Einstellungen gespeichert sind), indem Sie das Computergehäuse öffnen und die CMOS-Batterie physisch entfernen oder vorübergehend einen Jumper zum Löschen des CMOS setzen.
    • Setzen Sie die BIOS-Einstellungen mit einer Service-Tastenkombination zurück. Die meisten Motherboard-Hersteller beschreiben Tastenkombinationen in ihren Servicehandbüchern, um fehlerhafte BIOS-Einstellungen auf die Standardwerte zurückzusetzen, einschließlich des Kennworts. Ein Beispiel wäre, ScreenUpbeim Einschalten zu halten , was, wenn ich mich recht erinnere, ein Acer-Motherboard mit AMI-BIOS einmal für mich entsperrte, nachdem ich meine Übertaktungseinstellungen durcheinander gebracht hatte.
    • Last but not least gibt es eine Reihe von Standard-BIOS-Passwörtern, die unabhängig vom tatsächlich festgelegten Passwort immer zu funktionieren scheinen. Ich habe es nicht getestet, aber diese Seite bietet eine Liste von ihnen, sortiert nach Hersteller.
      Vielen Dank an Rinzwind für diese Information und den Link!
  • Schließen Sie das Computergehäuse ab / verweigern Sie den physischen Zugriff auf das Motherboard und die Festplatte:
    Auch wenn alles andere fehlschlägt, kann ein Datendieb Ihren Laptop / Computer öffnen, die Festplatte herausnehmen und an seinen eigenen Computer anschließen. Das Mounten und Zugreifen auf alle unverschlüsselten Dateien ist ein Kinderspiel. Sie müssen es in einen sicher verschlossenen Koffer legen, in dem Sie sicher sein können, dass niemand den Computer öffnen kann. Dies ist jedoch für Laptops unmöglich und für Desktops schwierig. Vielleicht können Sie sich vorstellen, einen Actionfilm wie ein selbstzerstörendes Gerät zu besitzen, das Sprengstoff in die Luft jagt, wenn jemand versucht, ihn zu öffnen? ;-) Aber stellen Sie sicher, dass Sie es dann niemals selbst zur Wartung öffnen müssen!

  • Vollständige Festplattenverschlüsselung:
    Ich habe diese Methode als sicher empfohlen, aber sie ist auch nicht 100% sicher, wenn Sie Ihren Laptop verlieren, während er eingeschaltet ist. Es gibt einen sogenannten "Kaltstart-Angriff", mit dem der Angreifer nach dem Zurücksetzen des laufenden Rechners die Verschlüsselungsschlüssel aus Ihrem RAM lesen kann. Dies entlädt das System, spült aber nicht den RAM-Inhalt der Zeit, ohne dass die Stromversorgung kurz genug ist.
    Vielen Dank an kos für seinen Kommentar zu diesem Angriff!
    Ich werde auch seinen zweiten Kommentar hier zitieren:

    Dies ist ein altes Video, erklärt aber das Konzept gut: "Damit wir uns nicht erinnern: Kaltstart-Angriffe auf Verschlüsselungsschlüssel" auf YouTube ; Wenn Sie ein BIOS-Kennwort festgelegt haben, kann der Angreifer die CMOS-Batterie auch dann entfernen, wenn der Laptop noch eingeschaltet ist, damit das benutzerdefinierte Laufwerk gestartet werden kann, ohne eine wichtige Sekunde zu verlieren. Dies ist heutzutage aufgrund von SSDs beängstigender, da eine speziell angefertigte SSD bei einer Schreibgeschwindigkeit von ~ 150 MB / s wahrscheinlich sogar 8 GB in weniger als 1 Minute sichern kann

    Verwandte, aber immer noch unbeantwortete Frage, wie man Kaltstart- Angriffe verhindert: Wie kann ich Ubuntu (unter Verwendung der vollständigen Festplattenverschlüsselung) aktivieren, um LUKSsupend aufzurufen, bevor es in den Energiesparmodus wechselt?


Fazit: Gegenwärtig schützt nichts Ihren Laptop wirklich davor, von jemandem mit physischem Zugriff und böswilliger Absicht benutzt zu werden. Sie können alle Ihre Daten nur dann vollständig verschlüsseln, wenn Sie paranoid genug sind, um zu riskieren, dass Sie alles verlieren, indem Sie Ihr Passwort vergessen oder abstürzen. Durch die Verschlüsselung werden Backups noch wichtiger als bisher. Sie sollten dann jedoch ebenfalls verschlüsselt und an einem sehr sicheren Ort aufbewahrt werden.
Oder geben Sie einfach Ihren Laptop nicht weg und hoffen Sie, dass Sie ihn nie verlieren. ;-)

Wenn Sie sich weniger für Ihre Daten, sondern mehr für Ihre Hardware interessieren, möchten Sie möglicherweise einen GPS-Sender kaufen und in Ihr Gehäuse einbauen, dies ist jedoch nur für echte paranoide Personen oder Bundesagenten bestimmt.

Byte Commander
quelle
7
Die vollständige Festplattenverschlüsselung würde Sie jedoch nicht vor Kaltstart-Angriffen bewahren, wenn Ihr Laptop gestohlen wird, während er eingeschaltet ist!
Kos
14
Auch wenn sich Ihr Laptop längere Zeit außerhalb Ihrer Kontrolle befunden hat, ist nicht mehr zu erwarten, dass er sicher ist. Es könnte jetzt zum Beispiel Ihr Pre-Boot-Passwort protokollieren.
Josef
1
Das Verschlüsseln Ihrer Daten sollte das Risiko eines Datenverlusts nicht erhöhen, da Sie über Sicherungen verfügen, richtig? Nur einmal gespeicherte Daten sind nicht viel besser als nicht vorhandene Daten. Vor allem SSDs versagen plötzlich, ohne dass eine Chance besteht, etwas aus ihnen herauszuholen.
Josef
3
Dies ist ein altes Video, erklärt aber das Konzept gut: youtube.com/watch?v=JDaicPIgn9U ; Wenn Sie ein BIOS-Kennwort festgelegt haben, kann der Angreifer die CMOS-Batterie auch dann entfernen, wenn der Laptop noch eingeschaltet ist, damit das benutzerdefinierte Laufwerk gestartet werden kann, ohne eine wichtige Sekunde zu verlieren. Dies ist heutzutage aufgrund von SSDs beängstigender, da eine speziell angefertigte SSD wahrscheinlich sogar 8 GB in weniger als 1 Minute speichern kann, wenn man eine Schreibgeschwindigkeit von ~ 150 MB / s in Betracht zieht
kos
2
@ByteCommander, aber Ihre SSD kann trotzdem ausfallen und alle Ihre Daten gehen verloren. Sicher, wenn Sie dazu neigen, Passwörter zu vergessen (schreiben Sie sie auf und verwahren Sie sie in Ihrem Tresor), steigt die Wahrscheinlichkeit, dass alle Ihre Daten verloren gehen, mit der Verschlüsselung, aber es ist nicht so, als wären Ihre Daten supersicher, wenn Sie es nicht wagen, sie zu verschlüsseln . Sie "riskieren nicht alles, indem Sie Ihr Passwort vergessen oder einen Absturz", Sie tun dies, indem Sie keine Backups haben.
Josef
11

Der sicherste Laptop ist der ohne Daten. Sie könnten Ihre eigene private Cloud-Umgebung einrichten und dann nichts Wichtiges lokal speichern.

Oder nehmen Sie die Festplatte heraus und schmelzen Sie sie mit Thermit ein. Obwohl dies die Frage technisch beantwortet, ist es möglicherweise nicht die praktischste, da Sie Ihren Laptop nicht mehr verwenden können. Aber diese immer nebligen Hacker werden es auch nicht.

Wenn Sie diese Optionen nicht nutzen, müssen Sie die Festplatte doppelt verschlüsseln und einen USB-Stick anschließen, um sie zu entschlüsseln. Der USB-Stick enthält einen Satz Entschlüsselungsschlüssel und das BIOS enthält den anderen Satz - natürlich passwortgeschützt. Kombinieren Sie dies mit einer automatischen Routine zur Selbstzerstörung von Daten, wenn der USB-Stick während des Bootens / Fortsetzens aus dem Suspend nicht eingesteckt ist. Tragen Sie den USB-Stick immer bei sich. Diese Kombination trifft auch auf XKCD # 538 zu .

XKCD # 538

E. Diaz
quelle
7
Die automatische Selbstzerstörungsroutine wird sicherlich eine angenehme Überraschung sein, wenn sich auf den Kontaktflächen Ihres USB-Sticks etwas Staub ansammelt.
Dmitry Grigoryev
10

Verschlüsseln Sie Ihre Festplatte. Auf diese Weise sind Ihr System und Ihre Daten sicher, falls Ihr Laptop gestohlen wird. Andernfalls:

  • Das BIOS-Passwort hilft nicht weiter: Der Dieb kann die Festplatte einfach aus Ihrem Computer entnehmen und auf einen anderen PC laden, um von dort aus zu starten.
  • Ihr Benutzer- / Root-Passwort hilft auch nicht weiter: Der Dieb kann die Festplatte wie oben beschrieben mounten und auf alle Ihre Daten zugreifen.

Ich würde Ihnen eine LUKS-Partition empfehlen, in der Sie eine LVM einrichten können. Sie können Ihre Startpartition unverschlüsselt lassen, sodass Sie Ihr Kennwort nur einmal eingeben müssen. Dies bedeutet, dass Ihr System leichter kompromittiert werden kann, wenn es manipuliert wird (gestohlen und Ihnen zurückgegeben wird, ohne dass Sie es merken). Dies ist jedoch ein sehr seltener Fall, und es sei denn, Sie glauben, dass Sie von der NSA, einer Regierung oder einer anderen Behörde verfolgt werden Mafia, du solltest dir darüber keine Sorgen machen.

Ihr Ubuntu-Installer sollte Ihnen die Möglichkeit geben, mit LUKS + LVM sehr einfach und automatisiert zu installieren. Ich werde die Details hier nicht erneut veröffentlichen, da es im Internet bereits zahlreiche Dokumentationen gibt. :-)

Peque
quelle
Wenn möglich, könnten Sie eine detailliertere Antwort geben. Wie Sie anhand meiner Frage sehen können, bin ich kein Sicherheitsfan.
Blade19899
Für die Aufzählungszeichen empfohlen, aber beachten Sie, dass die Festplattenverschlüsselung nicht der einzige Weg ist und auch nicht erforderlich ist, wenn Sie Ihre vertraulichen Dateien auf das beschränken, /home/yourNamewas Sie sollten! - Dann stapeln Sie diesen Ordner mit einem Verschlüsselungstreiber auf Dateiebene (wie einem, den ich am OP erwähnt habe und der keine Spam-Mails mehr versendet), eine sehr praktikable Alternative. Ich mache mir keine Sorgen, dass die Leute all die langweiligen Sachen sehen /usr, usw.
underscore_d
1
@underscore_d: Ich mache mir in der Tat Sorgen um andere Dinge außerhalb /home(einschließlich persönlicher und beruflicher Daten in anderen Partitionen), daher ist es für mich einfacher, alles zu verschlüsseln, aber ich denke, jeder Benutzer hat seine eigenen Bedürfnisse :-). Die Verwendung ecryptfsist jedoch nicht die beste Entscheidung in Bezug auf die Leistung. Hier finden Sie einige Benchmarks . Lesen Sie unbedingt die Seiten 2-5im Artikel, um die tatsächlichen Ergebnisse zu erhalten (Seite 1ist nur eine Einführung).
Peque,
Sehr wahr, danke für den Link / Benchmarks. Ich habe noch keine Leistungsgrenze erreicht, aber vielleicht später. Auch ich merkte , ich werde wahrscheinlich Sachen anfangen darüber nachzudenken , die Verschlüsselung wie /var/log, /var/www(Quelle), und /tmp, vielleicht Full-Disk - Verschlüsselung beginnt sinnvoller zu erscheinen!
Underscore_d
@underscore_d: Ja, und dann fangen Sie an, über /etcandere Top-Level-Verzeichnisse nachzudenken ... Am Ende ist die vollständige Festplattenverschlüsselung eine einfache und schnelle Lösung, mit der Sie jede Nacht wie ein Baby schlafen können. ^^
Peque
5

Es gibt einige bemerkenswerte Hardwarelösungen.

Erstens verfügen einige Laptops, z. B. einige Lenovo Business-Laptops, über einen Manipulationserkennungsschalter, der erkennt, wann das Gehäuse geöffnet wird. Unter Lenovo muss diese Funktion im BIOS aktiviert und ein Administratorkennwort festgelegt werden. Wenn eine Manipulation festgestellt wird, wird der Laptop (glaube ich) sofort heruntergefahren. Beim Start wird eine Warnung angezeigt, und Sie müssen das Administratorkennwort und das richtige Netzteil eingeben, um fortfahren zu können. Einige Sabotagemelder lösen auch einen akustischen Alarm aus und können so konfiguriert werden, dass eine E-Mail gesendet wird.

Die Manipulationserkennung verhindert Manipulationen nicht wirklich (aber es kann schwieriger werden, Daten aus dem RAM zu stehlen - und die Manipulationserkennung kann das Gerät "zersplittern", wenn es etwas wirklich zweifelhaftes wie den Versuch entdeckt, die CMOS-Batterie zu entfernen). Der Hauptvorteil besteht darin, dass niemand ohne Ihr Wissen verdeckt an der Hardware manipulieren kann. Wenn Sie eine starke Softwaresicherheit wie die vollständige Festplattenverschlüsselung eingerichtet haben, ist eine verdeckte Manipulation der Hardware definitiv einer der verbleibenden Angriffsmethoden.

Eine weitere physische Sicherheit besteht darin, dass einige Laptops an ein Dock gebunden werden können. Wenn die Dockingstation sicher an einem Tisch befestigt ist (über Schrauben, die sich unter dem Laptop befinden) und der Laptop bei Nichtgebrauch an der Dockingstation verriegelt bleibt, bietet sie einen zusätzlichen physischen Schutz. Natürlich wird dies einen entschlossenen Dieb nicht aufhalten, aber es macht es definitiv schwieriger, den Laptop von zu Hause oder im Geschäft zu stehlen, und solange er gesperrt ist, ist er immer noch perfekt verwendbar (und Sie können Peripheriegeräte, Ethernet usw. an das Dock anschließen).

Natürlich sind diese physischen Merkmale nicht nützlich, um einen Laptop zu sichern, der sie nicht besitzt. Wenn Sie jedoch sicherheitsbewusst sind, kann es sich lohnen, diese beim Kauf eines Laptops zu berücksichtigen.

Blake Walsh
quelle
2

Zusätzlich zur Verschlüsselung Ihrer Festplatte (Sie kommen nicht darum herum): - SELinux und TRESOR. Beide härten den Linux-Kernel und versuchen, es Angreifern zu erschweren, Dinge aus dem Speicher zu lesen.

Während Sie gerade dabei sind: Wir betreten jetzt nicht nur das Territorium der Angst vor bösen, zufälligen Typen, die Ihre Debitkarteninformationen wollen (sie tun das nicht), sondern oft genug vor Geheimdiensten. In diesem Fall möchten Sie mehr tun:

  • Versuchen Sie, alle Closed-Source-Geräte (auch Firmware) vom PC zu entfernen. Dies beinhaltet UEFI / BIOS!
  • Verwenden Sie tianocore / coreboot als neues UEFI / BIOS
  • Verwenden Sie SecureBoot mit Ihren eigenen Schlüsseln.

Es gibt viele andere Dinge, die Sie tun können, aber diese sollten eine angemessene Menge an Dingen enthalten, mit denen sie kitzeln müssen.

Und vergiss nicht: xkcd ;-)

Larkey
quelle
Diese Vorschläge sind nicht hilfreich. Weder SELinux noch TRESOR können Personen mit physischem Zugriff aufhalten. Sie sind nicht für dieses Bedrohungsmodell konzipiert. Sie werden ein falsches Sicherheitsgefühl vermitteln. PS Das Löschen von Closed-Source-Code hat nichts mit der Sicherheit von Personen zu tun, die physischen Zugriff haben.
DW
1
@DW "TRESOR (rekursives Akronym für" TRESOR führt die Verschlüsselung sicher außerhalb des Arbeitsspeichers aus ") ist ein Linux-Kernel-Patch, der eine ausschließlich auf CPU basierende Verschlüsselung zum Schutz vor Kaltstart-Angriffen bietet." Aber das ist nur ein Nebeneffekt. Ich schrieb "Zusätzlich", da diese Dinge nichts wirklich tun, wenn Sie Ihre Festplatte nicht verschlüsseln (in einem physischen Zugriffsszenario). Wenn Sie jedoch die physische Sicherheit erhöhen, sollten Sie nicht vergessen, dass der Angreifer immer noch hochfahren und auch einen digitalen Angriff ausführen kann (dh Fehler ausnutzen).
Larkey
@DW Es ist ziemlich beschissen, wenn Ihr PC gut verschlüsselt ist, aber anfällig für die Eskalation von Privilegien ist. Aus diesem Grund sollten Sie - wenn Sie das System von einer physischen Seite aus sichern möchten - auch einige Software-Härtungsmaßnahmen durchführen. Ich ausdrücklich erklärt , dass sie den Linux - Kernel gehärtet und sie sollte getan werden zusätzlich . Gleiches gilt für Closed-Source-Software. Ihre Festplatte ist möglicherweise gut verschlüsselt, aber wenn in der UEFI ein Keylogger für die Hintertür vorhanden ist, hilft dies nicht gegen Geheimdienste.
Larkey
Wenn Sie die vollständige Festplattenverschlüsselung verwenden und Ihren Computer nicht unbeaufsichtigt lassen, sind Angriffe zur Eskalation von Berechtigungen irrelevant, da der Angreifer das Entschlüsselungskennwort nicht kennt. (. Der richtige Einsatz von Festplattenverschlüsselung erfordert , dass Sie zum Herunterfahren / Ruhezustand , wenn unbeaufsichtigt) Wenn Sie Festplattenverschlüsselung verwenden und tun Sie Ihren Computer unbeaufsichtigt lassen, dann Festplattenverschlüsselung kann durch eine beliebige Anzahl von Methoden umgangen werden - zB ein USB - Befestigung Dongle - auch wenn Sie TRESOR, SELinux usw. verwenden. Auch diese sind nicht für dieses Bedrohungsmodell konzipiert. Diese Antwort scheint keine sorgfältige Sicherheitsanalyse widerzuspiegeln.
DW
1
Mit der Wiesel-Formulierung "try to" kann alles in Frage kommen - die rot13-Verschlüsselung kann sicherstellen, dass ein Exploit das System nicht übernehmen kann. Es wird keinen verdammten Erfolg haben, aber ich kann es als Versuch bezeichnen. Mein Punkt ist, dass die Verteidigung, die Sie herausgreifen, diese Klasse von Angriffen nicht effektiv stoppen kann. SELinux / TRESOR stoppen den Kaltstart nicht. Um die Sicherheit zu analysieren, müssen Sie mit einem Bedrohungsmodell beginnen und die Verteidigung gegen dieses spezifische Bedrohungsmodell analysieren. Sicherheit ist nicht der Prozess des Streuens auf eine endlose Liste zusätzlicher Einschränkungen, die gut klingen. Es gibt etwas Wissenschaft.
DW
2

Da Sie die Frage ein wenig geändert haben, ist hier meine Antwort auf den geänderten Teil:

Wie kann ich meinen Computer so sichern, dass kein Hacking durch physischen Zugriff möglich ist?

Antwort: Das kannst du nicht

Es gibt viele fortschrittliche Hardware- und Software - Systeme wie manipulations Erkennung , Verschlüsselung usw., aber es kommt alles dazu:

Sie können Ihre Daten schützen, aber Sie können Ihre Hardware nicht schützen, wenn jemand Zugriff darauf hatte. Und wenn Sie nach dem Zugriff einer anderen Person weiterhin Hardware verwenden, gefährden Sie Ihre Daten!

Verwenden Sie ein sicheres Notizbuch mit Manipulationserkennung, das den Arbeitsspeicher löscht, wenn jemand versucht, es zu öffnen, die Festplattenverschlüsselung verwendet und Sicherungen Ihrer Daten verschlüsselt an verschiedenen Orten speichert. Machen Sie es sich dann so schwer wie möglich, physischen Zugriff auf Ihre Hardware zu erhalten. Aber wenn Sie glauben, dass jemand Zugriff auf Ihre Hardware hatte, wischen Sie diese weg und werfen Sie sie weg.

Die nächste Frage, die Sie sich stellen sollten, lautet: Wie kann ich neue Hardware erwerben, die nicht manipuliert wurde?

Josef
quelle
1

Verwenden Sie ein ATA-Passwort für Ihre Festplatte / SSD

Dadurch wird die Verwendung der Festplatte ohne das Kennwort verhindert . Dies bedeutet, dass Sie ohne das Kennwort nicht booten können, da Sie ohne das Kennwort nicht auf den MBR oder den ESP zugreifen können . Wenn die Festplatte in einem anderen System verwendet wird, ist das Kennwort weiterhin erforderlich.

Sie können also ein sogenanntes Benutzer-ATA-Passwort für Ihre Festplatte / SSD verwenden. Dies wird normalerweise im BIOS festgelegt (dies ist jedoch kein BIOS-Kennwort).

Für zusätzliche Sicherheit können Sie auch ein Master-ATA-Kennwort auf der Festplatte festlegen . So deaktivieren Sie die Verwendung des Herstellerkennworts.

Sie können dies auch auf dem CLI mit tun hdparm.

Seien Sie besonders vorsichtig, da Sie alle Ihre Daten verlieren können, wenn Sie das Passwort verlieren.

http://www.admin-magazine.com/Archive/2014/19/Verwenden-der-ATA-Sicherheitsfunktionen-von-modernen-Festplatten-und-SSDs

Hinweis: Hier gibt es auch Schwachstellen, da es Software gibt, die behauptet, das ATA-Kennwort wiederherzustellen oder sogar zu entfernen. Es ist also auch nicht 100% sicher.

Hinweis: Das ATA-Passwort ist nicht unbedingt im Lieferumfang von FED (Full Disk Encryption) enthalten.

Sonnenwende
quelle